新規インストールのRaspberry Pi (DHCP) でもサクサクssh接続 Slideshareに上げたらスライドの色が抜けたので、気になる人は下記からダウンロード [Google Drive版] https://drive.google.com/file/d/0Bx0kGxajtQWhUjE4enFCZVhiaW8/edit?usp=sharing

1. RPiの見つけ方
Can you tell me how to get, How to get to RPi Street?

2. 自己紹介
idkqh7
• 金沢大学プログラミングサークル(KUPCH)の人
• 専門はバイオインフォマティクス
→やんごとなき理由でセキュリティの研究室へ？
• 趣味でプログラミングや電子工作など
アイダック

3. こんなとき困る
＿人人人人人＿
＞ 突然のDHCP ＜
￣Y^Y^Y^Y^Y￣
IPアドレス不明……

4. IPを特定する方法
Nmap scan report for 192.168.11.18
Host is up (0.0073s latency).
MAC Address: B8:27:EB:A1:B2:C3 (Raspberry Pi
Foundation)
$sudo nmap -sP 192.168.11.1-255 | grep -B 2 Pi
Raspberry Pi が接続されているネットワーク
“Pi”が存在する行
＋前2行表示
Raspberry Pi の
アドレス特定！

5. 特定したIPでssh接続
Sudoのパスワード入力など
いまいちイケてない感
シェルスクリプト

6. 改めて問題
【条件】
• 開発機とRaspberry Pi
が同じローカルネット
ワーク
• IPは不明
DHCPでもSSH接続したい！！

7. コマンド手順を再確認
1. ローカルネットワークを特定
2. IPを指定してMACアドレス取得
3. MACアドレスからベンダー名を取得
4. Piの文字列があるか確認
5. 文字列があったらRaspberry Piと断定
6. ユーザ名を指定しsshで接続
• MACアドレスはIPからどうやって逆引き？
• MACアドレスとベンダー名の関係は？

8. MACアドレスとは？
データリンクに接続された
ノードを識別するための
ユニークな識別番号
（ネットワーク上にあるハードウェアのユニークな識別番号
くらいの認識で良い）

9. MACアドレスをどんどん書き換えていくパケットの経路
IPアドレス=住所
MACアドレス=道路案内標識
MACアドレスの利点
00:00:00:00:00:00
11:11:11:11:11:11
22:22:22:22:22:22
33:33:33:33:33:33
11:11:11:11:11:11
22:22:22:22:22:22
33:33:33:33:33:33
192.168.11.1
192.168.22.1
192.168.11.1
192.168.22.1
IPアドレスを知っ
ていれば、どんな
ネットワーク経路
でも通信できる
ホストA
ホストB

10. IPアドレスからMACアドレスへ
②ARP要求パケット送信
• ターゲットIP=192.168.22.1
• MACアドレス=?
④ARP応答パケット送信
• ターゲットIP=192.168.22.1
• MACアドレス=01:23:45:67:89:1A
①192.168.22.1（ホストB）と通信したい
③MACアドレスの送信
ARP（Address Resolution Protocol）
ホストA
ホストB
※ARP要求パケットは同一セグメント上にある全てのホスト・ルータに送信される

11. MACアドレスの書式
ローカルネットワークに繋がれたデバイスのARP応答パ
ケットにおいて、IPアドレスとMACアドレスは基本的に同じ
デバイスを指す。（同一セグメントにあるので）
B8:27:EB:A1:B2:C3
ベンダ識別子(OUI)
OUI
逆引き
Raspberry Pi Foundation
ベンダ内の識別子
（機種ID・シリアルID）

12. どうやって実装する？
MACアドレスからIP逆引き
• MACアドレスからIPアドレスを逆引き＝本来はRARP
サーバを用いる
※（Reverse Address Resolution Protocol）
• そんな面倒くさいことしたくないし、RARPサーバは普通
指定されたMACアドレスがどのIPを使えば良いのかを問
い合わせるために使う
• 簡易版を自前で実装しちゃえYO

13. IPアドレスからMACアドレスへ
②ARP要求パケット送信
• ターゲットIP=192.168.22.1
• MACアドレス=?
④ARP応答パケット送信
• ターゲットIP=192.168.11.2
• MACアドレス=01:23:45:67:89:1A
①192.168.22.1（ホストB）と通信したい
③MACアドレスの送信
ARP（Address Resolution Protocol）
ホストA
ホストB
※ARP送信ソケットは同一セグメント上にある全てのホスト・ルータに送信される

14. ARPをキャッシュする
仕組み
• 毎回MACアドレスの問い合わせをするとネットワークを
逼迫→ARPをキャッシュする仕組みが存在
• ARPをキャッシュする仕組み＝ARPテーブル→少しの間、
自前でIPアドレスとMACアドレスの対応リストを持つ（数
分で消える）
• ARPテーブルの更新方法＝実際に通信ができたらリスト
が更新される

15. 具体的にどうする？
1. Ping打つ
2. 「arp –a」でARPのキャッシュ情報を表示
3. IPアドレスとMACアドレスの対応が分かる
4. 簡易逆引き機能（RARPサーバ）を実装
5. ひっそりとssh接続する
Pythonで実装

16. 衝撃の事実
• Rawソケットレイヤ（TCP／UDP
以外のパケット）を扱うときは、
Pythonでスクリプト書いても
sudoしないとダメ

17. Pythonる
if __name__ == '__main__':
my_ip = gethostbyname(gethostname())
network = my_ip[0:-1]
print('My local network is ' + network + '*')
ip = ''
FNULL = open(os.devnull, 'w')
print('Find Raspberry Pi ', end='')
stdout.flush()
for i in range(256):
ip = network + str(i)
subprocess.call(['ping', '-c 1', '-t 1', ip], stdout=FNULL)
print('.', end='')
stdout.flush()
if i % 5 == 0:
ip = get_rpi_ip(network)
if ip != '':
print('Correct?')
print('Try login via ssh on this. ' + '(IP:' + ip + ')')
stdout.flush()
try:
ssh(ip)
break;
except:
print('Cannot login via ssh.')
stdout.flush()
【コード概要】
コマンド直書き最強
• Ping打ってARPキャシュ更新
• 「arp -a」でテーブルを表示
• OUIで検索してRPiのIP逆引き
• ssh接続

18. http://goo.gl/9XHYZP
https://gist.github.com/idkqh7/10467235

19. 終わり

20. 余談
• Q. ローカルネットワーク内をブルートフォースでsshすれ
ば良いんじゃね？
• A. そうとも言う。
• Q. ローカルネットワークIP内の指定したベンダや機器
だけを狙うツールに転用可能？
• A. そうとも言う。
• Q. Raspberry Piに限った話ではないよね？
• A. そうとも言う。